Strengt tatt bør det ikke finnes et eneste datasystem i bruk i det offentlige som ikke har en form for ekstra sikkerhet knyttet til både innlogging og distribusjon av opplysninger, mener Ole Petter Pedersen. Illustrasjonsfoto: Colourbox

Kritisk med dårlig datasikkerhet

Kommentar. Å la brukernavn og passord ligge åpent ute i månedsvis, burde kvalifisere til mer enn en mikroskopisk bot fra Datatilsynet.
17.1 2019 09:00
Å beskytte brukernes opplysninger ved hjelp av enkel, ekstra sikkerhet, må være en selvfølge.

Like før jul fikk Bergen kommune en formell smekk på fingrene etter en dataskandale som har gitt kritikerne av Kommune-Norges datakompetanse vann på mølla.

En elev i kommunen varslet tidlig i fjor om at 35.000 brukernavn og passord lå nærmest åpent tilgjengelig på grunn av dårlig datasikkerhet. Ingenting skjedde. Eleven varslet deretter nok en gang på en mer aggressiv måte, hvoretter politiet kom på døra.

Først lenge etter det opprinnelige varselet, ryddet Norges nest største kommune opp i sikkerhetsbruddet. Likevel vanker det altså en bot på 1,6 millioner kroner fra Datatilsynet. Det kan høres mye ut, men det er et mikroskopisk beløp – under 6 kroner per innbygger, eller 45 kroner per passord.

Boten er altfor lav, men forhåpentligvis har det tapte omdømmet til Bergen – særlig det at de gikk etter eleven i stedet for å løse det faktiske problemet – bidratt til at datasikkerheten tas på alvor permanent framover.

«I vurderingen er det lagt vekt på at Bergen kommune ikke hadde etablert tofaktorautentisering i innlogging av eFeide, selv om kommunen hadde kunnskap om at dette burde tas i bruk», skriver Datatilsynet i sin avgjørelse.

• Les også: Norske kommuner må ta cyberansvar

Å ha to elementer for å kontrollere tilgang til opplysninger, er eldgammel teknologi som vi har brukt i dagliglivet siden minibankene dukket opp på 1970- og 1980-tallet. Du må både ha en kode og et fysisk element. I våre dager er den fysiske tingen gjerne mobiltelefonen. Skal du være trygg på at ingen kan bruke passordet ditt, skulle de få tak i det, må du ha slik tofakturautentisering. Det er ikke nytt, og ikke vanskelig. Bergen er likevel antakelig slett ikke de eneste som har fulgt opp dårlig.

Selvsagt må brukeren selv ta ansvar for å ha passord som ikke kan være til nytte for svindlere, om det skulle komme på avveie. Men en rapport om sikkerhet på nett som ble lagt fram i fjor, viser at hver femte innbygger bruker samme passord alle steder. Altså var det blant de 35.000 passordene i Bergen, om lag 8.000 standardpassord for unge innbyggere i kommunen – et passord som vil kunne brukes også på andre tjenester.

«Dersom en angriper ønsker tilgang til nettverket til din arbeidsgiver, eller til en virksomhet som din arbeidsgiver er underleverandør for eller samarbeider med, så kan dine passord, selv til personlige kontoer, være starten på veien inn», skriver Nasjonal sikkerhetsmyndighet (NSM) i nyeste utgave av sin årlige risikorapport.

Bergen var heldig ved at det bare var en elev med gode hensikter, og antakelig ingen svindlere, som kom over passordene.

– Både ID-tyveri, svindel og en rekke andre former for datakriminalitet og ubehag kan utløses av personlige passord på avveie, sier cyberekspert hos NorSIS Bjarte Malmedal til DinSide.no.

På deler av internett omsettes brukernavn og passord i stor skala. Det problemet blir vi aldri kvitt. Ikke at det er bedre i den analoge verden, der politiet sender ut pass i vanlig post i konvolutter som signaliserer én ting; her kommer passet ditt. Strengt tatt er det enda verre. Men det å beskytte brukernes opplysninger ved hjelp av enkel, ekstra sikkerhet, må være en selvfølge for å bestå teknologieksamen i Kommune-Norge i våre dager.

Strengt tatt bør det ikke finnes et eneste datasystem i bruk i det offentlige som ikke har en form for ekstra sikkerhet knyttet til både innlogging og distribusjon av opplysninger. Det kunne kombineres med bedre service overfor brukerne, slik at for eksempel jeg kunne logge meg inn og sjekke hvilke brukere som har sett mine helseopplysninger – på samme måte som jeg blir varslet av Skatteetaten om hvem som har sjekket opplysninger om meg i skattelistene. Da kunne brukerne selv slå alarm om snoking i pasientjournaler og andre dokumenter.

Den gang internett var nytt, var det forståelig at det kunne være enkelte sikkerhetsglipper. Nå er det over 25 år siden vi fikk den første nettleseren, og snart 20 år siden Norge fikk sin første rene nettbank. Det er bare dumt å snakke om at digitaliseringen er ny. Den har vært her lenge, og forventningene om sikkerhet likeså.

NSMs egne tester viser at sårbarheten i datasystemene ikke har blitt mindre. Fortsetter det slik, blir skandalen i Bergen på langt nær den siste.

Delta i debatten

Vi overvåker denne debatten kontinuerlig mellom kl. 07 og 24. Kommentarfeltet er nå stengt og åpner igjen kl. 07.00. Velkommen tilbake da!